Est-il OK qu'un administrateur système connaisse le mot de passe d'un nouveau venu / agisse en tant qu'utilisateur (immédiatement après son recrutement)?

Si je ne devais jamais dire à un administrateur mon mot de passe (car il a été répondu à la question citée), il n'y a aucune raison qu'un administrateur connaisse mon mot de passe même au tout début de mon travail dans cette entreprise

L'une des principales raisons de cette règle est que les administrateurs ne doivent pas accéder à vos données confidentielles telles que les e-mails, etc. Comme il n'y a pas de données associées au compte au tout début, ce n'est pas un problème.

ils génèrent un mot de passe pour l'utilisateur (PAS un changement à la première connexion)

L'utilisation d'un mot de passe de connexion unique demandera un mot de passe normal avant de pouvoir modifier la configuration. Un mot de passe est donc nécessaire avant d'accéder à la configuration.

Je soupçonne de toute façon que la plupart des anciens systèmes permettent aux administrateurs de réinitialiser les mots de passe avec une grande liberté. Est-ce une pratique acceptée?

Il s'agit d'une pratique acceptée. Pas les anciens systèmes, mais les systèmes plus récents comme Office 365 permettent également aux administrateurs de réinitialiser le mot de passe des utilisateurs sans en informer l'utilisateur. Cependant, ces réinitialisations sont enregistrées dans le système et l'administrateur sera tenu responsable de tout problème.

Notez également que toutes les configurations ne peuvent pas être modifiées au niveau Admin. Certaines choses ne peuvent être effectuées que par l'utilisateur. Au lieu de dire à chaque utilisateur d'effectuer un ensemble d'étapes, ils le font à l'avance.

Certaines autres préoccupations concernant le partage d'un mot de passe ne s'appliquent pas ici, telles que

1. La réutilisation du mot de passe n'est pas pertinente car le mot de passe n'est pas le vôtre.
2. Aucune de vos informations personnelles n'est associée au mot de passe.

Pour répondre à certains commentaires,

Je soupçonne qu '"il n'y a pas de données associées au compte au tout début" ce n'est pas absolument vrai: je pourrais avoir des e-mails dans ma boîte aux lettres (quelqu'un aurait pu envoyer mes informations confidentielles à mon adresse e-mail, car la boîte aux lettres a été activée avant ma première connexion)

par Diego Pascotto

L'ID de messagerie ne doit être partagé par quiconque par les administrateurs avant la configuration. La boîte aux lettres doit avoir été activée lors de la configuration d'Outlook. Les identifiants de messagerie ne sont partagés qu'une fois le mot de passe de connexion unique défini. Aussi, comme le souligne James Snell , il est peu probable que vous receviez un e-mail quelques minutes après la création du compte.

Une entreprise compétente dispose d'images, de procédures, via l'automatisation, qui s'occupent de ces choses sans jamais se connecter en tant que nouvel utilisateur à tout moment.

par Sokel

Les petites entreprises n'investissent pas toujours dans l'automatisation. Si une entreprise embauche environ 10 personnes par an et chacune avec un rôle différent, l'effort requis pour apporter l'automatisation et la maintenir sera supérieur à l'effort manuel. L'automatisation ne vaut l'effort que lorsque vous avez un travail qui se fait à plusieurs reprises en grand nombre. En d'autres termes, l'effort requis pour l'automatisation doit être inférieur à ce que votre effort requis pour le travail manuel

Si l'administrateur a eu un accès non contrôlé à votre compte à tout moment; ils auraient pu mettre en place quoi que ce soit sous votre nom - empêchant tout retour à eux.

par KMonkey

Toutes les actions prises par les administrateurs pendant cette période peuvent leur être liées car il est clair que le compte n'est pas remis à l'utilisateur jusqu'à ce que l'utilisateur réinitialise le mot de passe à l'aide du mot de passe de connexion unique.

Dans une petite entreprise, il est probable que l'administrateur qui configure la machine d'un nouvel employé soit également l'administrateur des e-mails et des serveurs de documents de l'entreprise. Dans ce cas, l'administrateur est déjà en mesure de lire vos e-mails ou d'envoyer un e-mail comme vous à tout moment sans jamais avoir besoin d'accéder à votre machine.

Si tel est le cas, il n'y a pas de nouveau problème de sécurité ici, bien qu'il soit vrai que la pratique est un peu superflue. En théorie, un administrateur ne devrait jamais avoir besoin de se connecter à votre compte en utilisant un mot de passe actif; ils peuvent se connecter en tant que compte administrateur à la place et faire à peu près tout ce qu'ils devaient faire à partir de là.

En pratique, à moins que votre équipe informatique ne soit suffisamment expérimentée pour pouvoir configurer de nouvelles machines reproductibles, correctement et de manière fiable à chaque fois, il est souvent beaucoup plus facile de se connecter en tant qu'utilisateur pour tester la configuration et effectuer certaines configurations qui sont simplement plus faciles. faire en tant qu'utilisateur réel plutôt que d'essayer de simuler l'effet tout en étant connecté en tant qu'administrateur. De nombreux systèmes d'entreprise sont conçus pour permettre aux administrateurs de réinitialiser un autre mot de passe d'utilisateur ou d'usurper l'identité d'un autre utilisateur sans le mot de passe de l'utilisateur, souvent ceci est enregistré pour permettre l'audit, mais dans les petites entreprises, le même administrateur a probablement aussi accès au système où il peut falsifier le journal d'audit.

La raison principale de l'adage qui "ne dit jamais à un administrateur mon mot de passe" est d'empêcher les utilisateurs d'être victimes de l'ingénierie sociale, car si l'utilisateur est informé tout le temps qu'un véritable administrateur n'aurait jamais réellement besoin ou ne demandera pas votre mot de passe, il devient un réponse automatique selon laquelle seule une personne prétendant être un administrateur aurait besoin de vous demander votre mot de passe. La raison secondaire est que beaucoup de gens réutilisent leur mot de passe; dans ce cas, ils peuvent partager beaucoup plus qu'ils ne le pensent. Aucun de ces éléments ne s'applique dans cette situation.

Je vais aborder cette question dans une direction différente.

Votre question est basée sur l'hypothèse que le compte est la responsabilité et/ou la propriété du nouvel utilisateur au moment de sa création, mais ce n'est pas vraiment vrai.

Lorsque le compte est créé, il appartient au service informatique, pas à l'utilisateur.

La configuration initiale que vous décrivez se produit avant le nouvel utilisateur prend possession du compte.

Le fait que le compte porte le nom du nouvel utilisateur ne change rien à cela. L'administrateur peut créer un compte pour Donald Duck, puis changer plus tard le nom en celui du nouvel utilisateur.

L'utilisateur ne prend possession du compte et n'en devient responsable que lorsqu'il se connecte et attribue son propre mot de passe. C'est le transfert du compte.

Supposons que vous commandiez une pizza pour la livraison. Le magasin écrit votre nom et commence à cuire la pizza. Ils pourraient y mettre la mauvaise garniture, la brûler ou la laisser tomber. Est-ce un problème de sécurité, car ils ont accès à votre pizza? Non, car ce n'est pas encore votre pizza. Il ne vous a pas été remis. Si la boutique fait une erreur, elle est responsable de la corriger.

Une fois que vous l'avez payé et réceptionné, cela devient votre responsabilité. Si vous le laissez tomber ou le jetez à votre voisin, la pizzeria n'est pas responsable.

En ce qui concerne les e-mails, si un e-mail est présent dans le compte avant la première connexion de l'utilisateur, cela n'a pas d'importance, car ce n'est pas encore son e-mail. L'e-mail n'est pas sécurisé de toute façon, il est facilement visible par n'importe quel numéro de personnes. De plus, dans la plupart des juridictions, les courriels d'entreprise sont la propriété de l'entreprise et non de la personne.

la configuration effectuée par l'administrateur COMME UTILISATEUR est-elle une pratique acceptable?

Oui, c'est vrai.

Comme pour toutes les pratiques, cela dépend du contexte. Mais d'une manière générale, il s'agit d'une pratique courante et acceptable, étant donné que vous avez un niveau de confiance de base dans vos administrateurs et non un niveau de sécurité extrêmement élevé, comme lorsque vous gardez des secrets d'État.

C'est correct, malgré la règle générale, car initialement votre compte ne contient pas de données sensibles. Bien qu'il y ait un court laps de temps pendant lequel les e-mails peuvent arriver, avant de changer le mot de passe, il est généralement peu probable a) que ce soit le cas et b) contiennent des données vraiment sensibles qui ne sont généralement pas considérées comme un problème.

Notez que de nombreuses entreprises conservent le droit d'accéder à vos e-mails et/ou fichiers sur votre machine de travail de toute façon. Bien que les sociétés éthiques protègent cet accès en exigeant que vous soyez présent ou qu'au moins deux administrateurs soient présents lorsqu'ils se connectent à votre compte, pour assurez-vous qu'ils n'agissent que conformément à leur tâche administrative, par exemple supprimer un virus, rechercher un fichier totalement nécessaire pendant vos vacances, etc. Les mêmes garanties pourraient être en place pendant cette courte période où ils ont un accès direct à votre nouveau compte.

Notez que vous devez faire confiance à votre service d'administration en général - ils pourraient tout simplement installer un système corrompu de toute façon. Cependant, le risque d'usurpation d'identité dans un court laps de temps est minime, comme le montre clairement votre contrat et l'horodatage de votre changement de mot de passe initial, à partir du moment où vous contrôliez votre compte.

Si la pratique est acceptable sans autres garanties, par ex. Principe des 4 yeux, dépend des besoins de sécurité de votre entreprise/emploi. Plus la sécurité est cruciale, plus les protections doivent être strictes - et plus on viserait à automatiser ces processus afin de minimiser la fenêtre d'opportunité pour quiconque de corrompre votre machine/compte ou d'accéder temporairement à vos données. Notez que ce dernier pourrait également être atteint en vous faisant simplement activer votre adresse e-mail une fois que vous avez réinitialisé le mot de passe.

Il est généralement recommandé d'utiliser un compte personnel pour tout ce que vous faites. Les journaux indiqueront qui a fait quoi. C'est pourquoi les administrateurs ne se connectent pas tous avec "root" ou "Administrateur", mais ont leurs propres comptes: vous pouvez dire qui a fait quoi et vous pouvez facilement révoquer les informations d'identification de l'administrateur sans changer le mot de passe de tous les administrateurs.

Les utilisateurs ont du mal à choisir des mots de passe sécurisés. S'ils ont mémorisé quelques mots de passe forts et les utilisent pour tout, vous pouvez probablement déjà le considérer comme un utilisateur supérieur à la moyenne. Si les administrateurs connaissent le mot de passe de l'utilisateur, ils peuvent être en mesure de se connecter aux comptes privés de l'utilisateur (tels que les e-mails personnels, le service de streaming musical, etc.). L'administrateur peut toujours usurper l'identité d'un utilisateur: il peut réinitialiser le mot de passe, et il est souvent également possible de simplement se connecter en tant qu'utilisateur sans connaître le mot de passe. Sur les systèmes de type Unix, vous pouvez exécuter la commande su john pour vous connecter en tant que john: si vous êtes un utilisateur normal, il vous demandera le mot de passe de john; si vous êtes root, il vous suffit de vous connecter en tant que john sans avoir besoin de leur mot de passe. Ce n'est pas recommandé pour la raison mentionnée dans le premier paragraphe, mais c'est totalement possible sur de nombreux systèmes.

La dernière information pertinente est que les choses sont plus faciles à configurer à partir de l'utilisateur qui en a besoin. Si John a besoin d'Outlook, vous pouvez écrire un script et planifier son exécution lors de la première connexion. Dans les petites organisations, cependant, il peut être plus efficace de se connecter en tant que John une seule fois et de configurer Outlook manuellement. Windows en particulier ne se prête pas bien aux scripts: la plupart est possible, mais il n'est pas bien établi et certaines choses ne sont toujours accessibles que via l'interface utilisateur graphique (GUI).

En conclusion, en supposant qu'il s'agit de la procédure établie, je n'y vois aucun risque. Les administrateurs peuvent de toute façon se connecter en tant qu'utilisateur, de sorte qu'ils n'obtiennent pas plus de privilèges grâce à lui. Ils n'apprennent pas non plus le mot de passe personnel de l'utilisateur. Le seul problème est que les journaux afficheront brièvement l'activité sous un mauvais nom, mais je ne vois aucun avantage pour un administrateur malveillant: il existe mille autres façons (plus faciles) de faire des choses malveillantes.

Acceptable mais pas idéal

Pour que cela soit acceptable, cela devrait faire partie d'une procédure documentée. Cela sert à expliquer la raison du comportement ainsi qu'à exclure toute accusation d'irrégularité.

Les documents sont généralement approuvés lorsqu'ils sont signés ou finalisés, ce qui établirait également l'approbation officielle de la pratique.

Meilleure idée ...

S'il y a des actions qui doivent être effectuées avec les informations d'identification de l'utilisateur, il est préférable d'automatiser le processus. L'automatisation peut prendre la forme d'un script, d'un assistant de configuration ou d'un portail libre-service, quelle que soit l'organisation qui préfère.

Cela offre de multiples avantages:

Tout d'abord, l'interaction de l'utilisateur est minimisée pour éviter une mauvaise configuration. Deuxièmement, le "temps de contact" de l'administrateur est réduit. Troisièmement, la configuration ne souffrira pas d'erreurs humaines ou d'incohérence entre les déploiements. Et, enfin, vos préoccupations concernant l'utilisation du compte seront éliminées.

Avertissements

Il existe des compétences supplémentaires requises pour l'automatisation (par rapport à l'installation manuelle), et votre organisation peut ne pas avoir ces compétences. Certaines plates-formes sont difficiles à automatiser, même si cela pose moins de problèmes qu'auparavant. Ou bien, l'entreprise peut tout simplement ne pas comprendre les avantages de l'automatisation.

Il semble y avoir une supposition erronée ici, qu'un ordinateur portable appartenant à un employeur et un compte de messagerie électronique fourni et payé par un employeur appartiennent en quelque sorte à l'employé. Ils ne le font pas! La situation est que vous êtes employé et payé pour faire fonctionner leur équipement et pour traiter leurs données. (Idem, les administrateurs système).

Donc, la seule façon d'être certain de la confidentialité est de gérer les affaires privées sur le matériel que vous possédez personnellement. Votre téléphone mobile connecté au réseau mobile est probablement cet appareil, lorsque vous êtes au travail. Si votre employeur autorise l'utilisation personnelle de sa connexion à Internet dans son ensemble, une communication sécurisée (https) avec un compte personnel sur un service de messagerie externe tel que Gmail est presque aussi sûre - tant que vous faites confiance à votre employeur pour ne pas le faire. faire quoi que ce soit d'une immoralité flagrante, comme installer un enregistreur de frappe sur votre PC appartenant à l'employeur pour intercepter votre mot de passe privé et un enregistreur d'écran pour permettre à l'employeur de regarder votre écran plus tard. Dans l'UE, cela serait manifestement illégal à moins que les politiques des employeurs (dont vous avez été informé et qui font partie de votre contrat de travail) ne vous en avisent. Il est probable que ce soit illégal, même si c'est le cas, sauf si vous travaillez dans un environnement particulièrement sensible (auquel cas toute utilisation personnelle du matériel de l'employeur est susceptible d'être interdite pour des raisons de sécurité raisonnables).

Les administrateurs système sont payés par l'employeur pour maintenir ses actifs conformément à ses politiques. Ces politiques doivent être conformes à la loi. Ainsi, dans l'UE, il y a une attente de confidentialité en ce qui concerne les e-mails, entourée d'actions nécessaires à l'employeur pour effectuer. Ainsi, un administrateur système peut avoir à consulter des e-mails "privés" afin d'administrer un système de serveur de messagerie, mais ne doit jamais révéler ou agir sur ce qu'il voit à moins qu'il ne révèle une faute grave ou un crime. Il ne devrait certainement jamais regarder délibérément des courriels en dehors des politiques établies par l'employeur et connues de l'employé.

Mais un administrateur système mauvais ou corrompu est privilégié, vous ne pouvez donc rien faire pour vous protéger de lui. Si vous ne faites pas entièrement confiance à votre employeur, n'utilisez pas au minimum son matériel à des fins privées qui vous nuiraient s'il était rendu public. Au maximum, vous devriez être à la recherche d'un nouvel emploi!

En passant, je suis un administrateur système de petite entreprise et je configure des PC à peu près comme décrit. Chez un ancien employeur, c'était s.o.p. pour envoyer un seul e-mail depuis le PC nouvellement configuré vers le compte de messagerie de l'entreprise du sysadmin, y répondre et supprimer la réponse, pour vous assurer que tout fonctionnait bien. C'était aussi s.o.p. envoyer un e-mail plus long du sysadmin au compte de l'employé nouvellement créé, l'accueillant généralement dans l'organisation et fournissant des informations standard sur le démarrage. Il les attendrait après leur première connexion, en réinitialisant leur mot de passe.

J'ai l'impression que cette question ne fait que souligner la dichotomie entre "comment nous souhaitons que l'informatique fonctionne" et "comment cela fonctionne vraiment".

À un moment de l'histoire, je parie que les informaticiens ont installé un ordinateur portable pour un directeur. Quand ils ont passé l'ordinateur portable, l'exécutif était irrité quand il ne fonctionnait pas ou avait besoin d'une configuration supplémentaire. Donc, ils se font crier dessus, et c'est probablement à ce moment-là qu'une politique a commencé à "se connecter et s'assurer qu'elle est entièrement configurée et fonctionne avant le transfert".

Est-ce que c'est idéal? Non, mais personne dans l'informatique n'est jamais surpris de la quantité d'accommodements que l'informatique fait pour que les choses fonctionnent bien dans une entreprise, surtout quand cela a un impact sur les hauts niveaux.

C'est un peu comme la façon dont un entrepreneur qui est embauché, mais qui continue de donner de mauvaises nouvelles au locataire sera en faillite. .

IL marche souvent sur des œufs et doit choisir ses batailles.

Configurer un ordinateur portable et s'y connecter pour effectuer toutes les post-configurations de programmes étranges et revérifier pour que tout fonctionne (QA) avant le transfert ... c'est quelque chose que l'informatique vient de faire une concession pour faciliter la vie de chacun. Tant que les administrateurs informatiques étaient les seuls à le faire, c'était une "valeur sûre" à faire.

Mais, lorsque les dirigeants demandent à quelqu'un de se connecter pour eux et de faire un travail (auquel l'administrateur pourrait se laisser entraîner dans la cuisine des livres pour quelqu'un sans s'en rendre compte) .. ou un directeur/exécutif demandant au service informatique de se détendre sur une politique destinée à protéger les utilisateurs d'eux-mêmes, ou protéger les serveurs contre les virus (par exemple: "laissez simplement mes employés conserver leurs mots de passe sur les post-its à côté de l'ordinateur" ... euh, non.)

Vous devez choisir vos batailles. Vous pouvez vous contenter de la politique toute la journée, et en fait, si vous continuez à creuser dans la politique, vous serez frustré de voir toutes les petites consolations que le département informatique fait pour assurer le bon fonctionnement des choses.

L'autre problème avec cela est que lorsque le département informatique fait des consolations, ils peuvent être considérés comme un groupe prêt à contourner les règles ... de sorte que certaines personnes peuvent ne pas prendre les règles aussi au sérieux ou s'attendre à ce qu'elles les plient au point de les briser.

Donc, l'informatique, un peu comme la philosophie Jeet Kun Do de Bruce Lee, c'est "être comme l'eau". Vous voulez répondre aux besoins et aux désirs de l'entreprise pour laquelle vous travaillez pour que tout se passe bien tout en satisfaisant votre objectif principal. Mais, vous voulez aussi être une force avec laquelle il faut compter si quelqu'un vous pousse dans une direction qui est clairement mauvaise pour lui-même ou pour l'entreprise.

C'est pourquoi il y a un délicat exercice d'équilibre dans les entreprises. Vous souhaitez embaucher des personnes de confiance en informatique. Je préférerais avoir des employés informatiques médiocres en qui j'ai confiance, puis des rockstars qui s'inquiètent de trouver des moyens de détourner de l'argent sur le côté ou de soutirer les serveurs pour travailler à contrat le soir.

D'un autre côté, je ne veux pas non plus que le personnel exécutif pense qu'il peut marcher partout dans l'informatique. Traiter avec l'informatique devrait être comme traiter avec la police. Ils doivent être dignes de confiance, avoir suffisamment de pouvoir pour repousser les gens arrogants, mais aussi suffisamment dignes de confiance pour ne pas abuser de leur pouvoir.

Donc, tl; dr ... Je pense que vous êtes bloqué sur une politique qui ne semble pas idéale d'un point de vue académique/idéal, mais qui est probablement née d'un faux passé, et qui agit désormais comme le service informatique assez de choses QA avant de les remettre aveuglément.

Ce que les autres réponses manquent à l'OMI, c'est:

Pourquoi ce processus n'est-il pas automatisé?

L'approvisionnement des comptes d'utilisateurs (quel que soit le système d'exploitation) n'est rien de ce qu'un administrateur doit faire à la main, encore et encore. La configuration initiale d'un compte utilisateur et l'approvisionnement du logiciel peuvent être effectués via l'automatisation. Le paramétrage du mot de passe respectif du compte utilisateur se ferait également automatiquement. Cela devrait être "changer après la première utilisation". Ce processus d'automatisation doit être revu régulièrement et doit être mis en œuvre selon un principe à quatre yeux.

Tout ce qu'un administrateur fait sur une machine doit être enregistré . Si un administrateur se déplace librement sur un système avant de provisionner, des scénarios de "mauvais administrateur" se produiront inévitablement.

Éditer:

Comme cette réponse a suscité une conversation, permettez-moi d'ajouter ce qui suit:

Voici quelques outils pour provisionner des images Windows sur le matériel de l'entreprise, pour Windows 8 Microsoft Deployment Toolkit et System Center Configuration Manager pour Windows 10. Ces outils sont des outils Microsoft officiels , ils sont gratuits (pour autant que je sache) et à première vue assez bien documentés. Vous pouvez y implémenter et documenter facilement tous les processus de provisionnement de Windows 8/10 sur le matériel de l'entreprise. Tous les accès administrateur à une machine doivent être effectués via des outils comme ceux-ci et doivent être enregistrés avec un serveur de journalisation. Il y a alors moins de possibilités pour un seul administrateur de manipuler une seule machine.

Si un administrateur gère chaque machine à la main, 1) la manipulation est possible et 2) des erreurs sont inévitables. Un processus automatisé peut être revu et audité, un processus manuel est impossible à contrôler.

L'engagement envers de tels outils est une étape vers un approvisionnement plus sécurisé des systèmes d'exploitation et des comptes d'utilisateurs dans un environnement d'entreprise.

Vous achetez une nouvelle voiture. Au moins une fois par an, vous le confiez à un mécanicien pour l'entretien (contrôle d'huile, etc.). La plupart d'entre nous donneront une clé au mécanicien et sont allés faire quelque chose (shopping, café, etc.). Ils ont un accès complet à votre voiture. Ils peuvent tout faire. Considérez-vous cela comme un gros problème, vous pourriez laisser/oublier votre ordinateur portable privé/de bureau à l'intérieur ou certains documents personnels ou .... ??

Tout comme l'entretien de votre voiture, la préparation de votre compte est quelque chose qui doit être fait. Vous pouvez vous asseoir, regarder et faire semblant de savoir ce qu'ils font ou les laisser le faire eux-mêmes en leur faisant confiance qu'ils sont des professionnels et savoir ce qu'ils font.

En cas de passage à un nouvel emploi, je serais plus préoccupé par le fait que ma boîte aux lettres pleine soit restée sur l'ancien travail et qu'elle en vide une sur un nouvel emploi.

Être paranoïaque est tout à fait correct, tant que vous êtes sûr de savoir pourquoi vous êtes paranoïaque.

Cela me rappelle une blague du RGPD:
Dans l'infirmerie du bureau des médecins, elle dit: "En raison du RGPD, je ne suis pas autorisé à prononcer vos noms en public, mais celui qui souffre de syphilis peut aller voir un médecin ..."